近日,火眼發(fā)布了一個包含超過140個開源Windows滲透工具包,紅隊滲透測試員和藍隊防御人員均擁有了頂級偵察與漏洞利用程序集。該工具集名為“CommandoVM”。
安全工作者在對系統(tǒng)環(huán)境進行滲透測試時常常會自己配置虛擬機,如果是Linux的話還好,還有Kali Linux可以用。但是碰上Windows環(huán)境就慘了,往往配置虛擬機環(huán)境就要好幾個小時。一邊要維護自定義的虛擬機環(huán)境,一邊還要時常升級集成的工具套件,花費的時間成本頗高。最近火眼推出了一款面向紅隊的Commando VM滲透測試套件,有需要的小伙伴可以看一看,免費又好用。
這一次火眼推出的標(biāo)準(zhǔn)化工具套件解決了兩個最關(guān)鍵的問題。其一是整合了最優(yōu)秀的滲透測試工具,無需再花很多時間去尋覓。其二則是2013年發(fā)布的Kali Linux繼承了超過600款安全、取證和探索工具,Commando選取了其中適用于Windows平臺的精華工具,其中很多還是Windows平臺原生支持的。
而滲透測試人員面臨的第二個問題就是工具集的維護。Commando VM將所有工具打包到一個發(fā)行版中可以加快維護速度,修補和更新都更加簡單。
關(guān)于Commando VM
火眼本次推出的Commando VM套件面向Windows平臺構(gòu)建,屬于此前發(fā)布的FLARE VM套件的全新迭代版本,后者專攻逆向工程和惡意軟件分析,Commando VM功能更加全面,是Windows環(huán)境中內(nèi)部滲透測試的首選平臺。
使用基于Windows平臺構(gòu)建的虛擬機環(huán)境有以下幾點明顯優(yōu)勢:
1、原生支持Windows和Active Directory;
2、可作為C2框架的臨時工作區(qū);
3、更便捷的共享和交互式操作支持;
4、支持PowerView和BloodHound等工具;
5、對測試目標(biāo)不產(chǎn)生任何影響。
Commando VM使用Boxstarter、Chocolatey和MyGet軟件包來安裝所有軟件,并提供多種用于滲透測試的工具和實用程序,共計140多款,涵蓋以下領(lǐng)域:
Nmap
Wireshark
Covenant
Python
Go
Remote
Server Administration Tools
Sysinternals
Mimikatz
Burp-Suite
x64dbg
Hashcat
紅藍對抗中的雙方都可以從Commando VM獲益,對于藍隊而言該套件提供了高性能的網(wǎng)絡(luò)審計和檢測能力。
安裝
建議在虛擬機中部署Commando VM,使用虛擬機軟件的快照功能減少重新配置環(huán)境所需的時間,虛擬機環(huán)境要滿足以下最低要求:
60GB磁盤空間
2GB內(nèi)存
在完成虛擬機的基本配置后安裝Windows鏡像,支持:
Windows 7 Service Pack 1
Windows 10
建議使用Windows 10鏡像以支持更多功能。
系統(tǒng)安裝完成后建議添加配套的虛擬機工具(例如VMware Tools)以支持復(fù)制/粘貼、屏幕顯示調(diào)整等其他設(shè)置。虛擬機環(huán)境配置成功后,以下所有的步驟均在該環(huán)境中操作。
1、運行Windows Update確保系統(tǒng)已更新至最新版。建議更新完成后重啟系統(tǒng)再次檢查。
2、確保系統(tǒng)為最新版本后建立快照,萬一需要重新配置的話可省去安裝系統(tǒng)的時間。
3、下載GitHub上的Commando VM文件并解壓縮。
4、找到解壓縮后的文件夾目錄,使用管理員權(quán)限打開PowerShell會話(安裝Commando VM需要修改系統(tǒng)設(shè)置)。
5、鍵入以下命令將PowerShell的執(zhí)行策略更改為不受限制,并在PowerShell提示時回答“ Y ”:Set-ExecutionPolicy unrestricted
6、執(zhí)行install.ps1安裝腳本。系統(tǒng)將提示輸入當(dāng)前用戶的密碼。Commando VM需要當(dāng)前用戶的密碼才能在重啟后自動登錄。可以通過命令行“-password ”來指定當(dāng)前用戶的密碼。
7、剩下的安裝過程需要聯(lián)網(wǎng)并自動執(zhí)行,根據(jù)網(wǎng)絡(luò)速度可能需要2至3小時完成。期間虛擬機系統(tǒng)會重啟多次。安裝完成后,PowerShell保持打開狀態(tài),鍵入任意鍵可退出,完成后的桌面如下:
8、看到這個桌面后再次重啟系統(tǒng)保證所有配置生效。重啟后再次建立快照以便不時之需。
傳送門:
Commando VM 頁面:https://www.fireeye.com/blog/threat-research/2019/03/commando-vm-windows-offensive-distribution.html
Commando VM 項目地址:https://github.com/fireeye/commando-vm
